资讯专栏INFORMATION COLUMN

Android逆向之路---脱壳360加固

pkhope / 3960人阅读

摘要:前言众所周知,现在软件在防止逆向采取了混淆,加壳等措施。这两天在逆向一款的时候找到了一个不错的插件推荐给大家,下载地址点我下载前提环境过的手机文件下载地址在上方自动脱壳安装完成之后,在里面软重启,激活。

前言

众所周知,现在软件在防止逆向采取了混淆,加壳等措施。比如360加固,腾讯加固,梆梆加固等等。
这两天在逆向一款app的时候找到了一个不错的xposed插件推荐给大家,

下载地址:点我下载

前提环境

xposed

root过的android手机

dumpdex.apk文件(下载地址在上方)

自动脱壳

安装完成dumpdex.apk之后,在xposed里面软重启,激活。就好了。

现在就可以脱壳了,我们可以找一个已经被加固的app,
在此就不列举app的名字了。

我们点击app打开,这个时候WrBug会自动的帮我们脱壳完成。
此时此刻我们只需要去对应目录找dex文件就好了。

路径如图:

接下来就可以用adb pull命令将对应的dex文件取出,脱壳完毕。

xposed hook 360加壳后app注意事项

由于360加壳之后,更改了classloader,因此我们用原本的classloader是会报类无法被找到的异常的。

不过我们去分析源码便知道,我们要先hook到360的classloader,再从360的classloader里面获取到app运行时的类。

360加固源码分析

类com.stub.StubApp

public class StubApp
  extends Application
{
  private static boolean loadDexToC = false;
  private static boolean loadFromLib;
  private static boolean needX86Bridge;
  public static String strEntryApplication;
  private static Application ?�A = null;
  private static Application ??;
  private static String ??;
  private static Context ??;

  static
  {
    strEntryApplication = "com.qihoo360.crypt.entryRunApplication";
    ?? = null;
    ?? = "libjiagu";
    loadFromLib = false;
    needX86Bridge = false;
    throw new VerifyError("bad dex opcode");
  }
  //--------略--------
   private static Application ᵢˋ(Context context) {
        try {
            if (ᵢˎ == null) {
                ClassLoader classLoader = context.getClassLoader();
                if (classLoader != null) {
                    Class loadClass = classLoader.loadClass(strEntryApplication);
                    if (loadClass != null) {
                        ᵢˎ = (Application) loadClass.newInstance();
                    }
                }
            }
        } catch (Exception e) {
        }
        return ᵢˎ;
    }

  //--------略--------
}

上面代码中有一个方法,这个方法的名称是乱码,你没看错,这个方法名称本身就是一串奇怪的字符,我们需要Hook到这个方法,然后拿出classloader才可以

Hook代码如下

XposedHelpers.findAndHookMethod("com.stub.StubApp", lpparam.classLoader, "ᵢˋ", Context.class, new XC_MethodHook() {
                @Override
                protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                    super.afterHookedMethod(param);
                    //获取到360的Context对象,通过这个对象来获取classloader
                    Context context = (Context) param.args[0];
                    //获取360的classloader,之后hook加固后的代码就使用这个classloader
                    ClassLoader classLoader = context.getClassLoader();
                    //替换classloader,hook加固后的真正代码

                    XposedHelpers.findAndHookMethod("com.alibaba.fastjson.JSON", classLoader, "toJSONString", Object.class, new XC_MethodHook() {

                        @Override
                        protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                            super.afterHookedMethod(param);
                            XposedBridge.log(TAG + "JSONObject");
                            XposedBridge.log(TAG + param.args[0].toString());
                            XposedBridge.log(TAG + param.getResult());
                        }
                    });
                }
            });

这样就可以了

注意!!!

由于360加固版本也会更新换代,升级,变形,也希望读者读到了这里可以自己思考。
今天是2018/12/13,如果你看到这篇文章的时间,360加固已经更新了N个版本,欢迎call我,一起来找到最新的破解办法。

网上目前流传很多其他办法,例如:

  XposedHelpers.findAndHookMethod("com.qihoo.util.StubApp579459766", loadPackageParam.classLoader,
                    "getNewAppInstance", Context.class, new XC_MethodHook() {
                        @Override
                        protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                            super.afterHookedMethod(param);
                            //获取到360的Context对象,通过这个对象来获取classloader
                            Context context = (Context) param.args[0];
                            //获取360的classloader,之后hook加固后的就使用这个classloader
                            ClassLoader classLoader =context.getClassLoader();
                            //下面就是强classloader修改成360的classloader就可以成功的hook了
                            XposedHelpers.findAndHookMethod("xxx.xxx.xxx.xxx", classLoader, "xxx", String.class, String.class, new XC_MethodHook() {
                                @Override
                                protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                                    super.beforeHookedMethod(param);
                                    Log.i(TAG, "密钥: " + (String) param.args[0]);
                                    Log.i(TAG, "内容: " + (String) param.args[1]);
                                   param.setResult((String) param.args[1]);
                                }
                            });

上方的方法其实已经是360加固16年的破解版本了,
现在是8102年了,还请读者自行辨析。

目前16年的版本已经无效了,请使用最新的方法

写在最后

技术瞬息万变,30年河东30年河西,希望大家都可以抓住那些不变的东西,努力进取。

争取在每次浪潮来临之际,能够赶上每一波更新,加油!

注:感谢作者WrBug。

项目github地址如下:

点我点我

关于我

个人博客:MartinHan的小站

博客网站:hanhan12312的专栏

知乎:MartinHan01

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/72693.html

相关文章

  • Android逆向之路---脱壳360加固原理解析

    摘要:如何使用呢,可以见我的的上一篇文章点我逆向之路脱壳加固与注意事项写在最后偶尔聊聊技术,偶尔聊聊逆向,偶尔聊聊生活不能总聊技术呀,下次一起聊点轻松的。 前言 众所周知,上次说到了如何脱壳360加固,大致意思就是安装一个xposed插件,然后自动就会脱壳了,那么这个插件是如何工作的呢,本次重点说说这个。 上次说道了dumpDex脱壳360加固,其实先说个大概,就是从ndk层和java层,适...

    ysl_unh 评论0 收藏0
  • Android防护扫盲篇

    摘要:为了防止这种现象,我们可以对字节码进行混淆。动态链接库是目标文件的集合,目标文件在动态链接库中的组织方式是按照特殊方式形成的。 一、已知防护策略 1.不可或缺的混淆 Java 是一种跨平台、解释型语言,Java 源代码编译成的class文件中有大量包含语义的变量名、方法名的信息,很容易被反编译为Java 源代码。为了防止这种现象,我们可以对Java字节码进行混淆。混淆不仅能将代码中的类...

    CastlePeaK 评论0 收藏0
  • APP 漏洞自动化扫描专业评测报告(中篇)

    摘要:前言上一篇中通过对阿里聚安全漏洞扫描腾讯金刚审计系统百度移动云测试中心以及在收费情况样本测试后的扫描时间对比和漏洞项专业对比后,本篇将以各个厂商的扫描能力作为分析维度展开。表示扫描结果正确,表示扫描结果错误。 前言 上一篇中通过对阿里聚安全[1]、360App 漏洞扫描[2]、腾讯金刚审计系统[3]、百度移动云测试中心[4]以及AppRisk Scanner[5] 在收费情况、样本测试...

    justjavac 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<